Flere danske medier og dermed populære og velbesøgte websider, herunder tv2.dk, har i dag leveret en skadelig reklame, som via et indlejret "actionscript" i et Flash banner, har flyttet besøgende over på en fjendtlig webside. Den fjendtlige webside forsøger at installere et falsk sikkerhedsprogram som foregiver at komme fra Microsoft. Se vedhæftede skærmdumps herunder.
Den skadelige kode leveres via domænet (mellemrum indlagt af CSIS)
Første fase:
90d6bc5a.tj-microdefender.nl/index.php?key[%ID token%]
--> 90d6bc5a.tj-microdefender.nl/dd/install.exe
Domænet oversættes til IP adressen 212.83.155.45 hjemhørende hos AS12876 ONLINE S.A.S. i Frankrig.
Anden fase (opdatering af domæne)
lj-microdefender.nl
Oversættes til en server i Rumænien: 93.115.82.247.
Begge domæner er registeret igennem:
Key-Systems GmbH
Im Oberen Werk 1
66386
St. Ingbert
Germany
Vi har blokeret domænet i CSIS Secure DNS.
Denne banner injektion kommer ca. 1 uge efter at tilsvarende banner injektion kampagne blev skudt i gang via Ekstrabladets webside.
↧
CSIS Blog: Forgiftede reklame bannere via TV2.dk
↧